Utilisateurs, groupes et stratégies

Oracle Digital Assistant utilise Oracle Cloud Infrastructure Identity and Access Management (IAM) en tant que service de base pour l'authentification et l'autorisation.

IAM se décline en deux variantes :

IAM sans domaine d'identité. Cette variante fournit un accès basé sur stratégie. L'administrateur de location de votre organisation doit configurer des compartiments, des groupes et des stratégies qui déterminent quels utilisateurs peuvent accéder à quelles ressources et comment. Pour obtenir une présentation de ce processus, reportez-vous à Configuration de votre location.
Dans les instances Digital Assistant provisionnées sans domaine d'identité, les stratégies contrôlent qui peut développer des briquettes et des assistants numériques, accéder à des données d'analyse et appeler les API du service. Pour plus de détails sur le fonctionnement des stratégies, reportez-vous à Introduction aux stratégies. Pour obtenir des détails spécifiques sur l'écriture de stratégies, reportez-vous à Référence de stratégie.
IAM avec des domaines d'identité. Cette variante offre la possibilité d'un accès basé sur role en plus de l'accès basé sur une stratégie. Pour fournir un accès basé sur les rôles, l'administrateur de location de votre organisation doit configurer des compartiments, des groupes et des rôles qui contrôlent quels utilisateurs peuvent accéder à quelles ressources et comment. Le processus est similaire à celui décrit dans la section Configuration de votre location, à ceci près que vous utilisez des rôles prédéfinis au lieu d'écrire des instructions de stratégie.
La fonctionnalité de domaine d'identité vous permet de gérer l'accès à Digital Assistant en utilisant les mêmes concepts et techniques que ceux utilisés dans Oracle Identity Cloud Service (IDCS).

Remarque

Il est possible que la fonctionnalité Domaines d'identité ne soit pas encore disponible pour votre location. Pour déterminer si votre location a été mise à jour avec cette fonctionnalité, connectez-vous à votre compte cloud, ouvrez le menu de navigation de la console (), puis sélectionnez Identité et sécurité. Si un lien Domaines apparaît dans la section Identité de la page, les domaines d'identité sont disponibles dans votre location.

Remarque

Si votre instance Digital Assistant est associée à un abonnement à un service Oracle Cloud Applications basé sur Fusion, tel que HCM Cloud ou Sales Cloud, reportez-vous à Introduction à Oracle Digital Assistant for Fusion Applications pour obtenir des informations sur la configuration des droits d'accès pour les utilisateurs.

Stratégies Digital Assistant

Avant de commencer à organiser les utilisateurs en groupes, vous devez connaître les bases du fonctionnement des stratégies et décider quelles stratégies appliquer à quels groupes d'utilisateurs.

Les stratégies sont créées avec des instructions qui spécifient des types de ressource, des verbes (qui décrivent le niveau d'accès à ces types de ressource) et des emplacements (généralement le nom des compartiments).

Par exemple, vous pouvez créer une instruction de stratégie permettant à un groupe nommé ServiceDevelopers d'exécuter la commande use pour le type de ressource oda-design dans un compartiment nommé MyDigitalAssistantTest.

Types de ressource

Ce tableau présente les types de ressource disponibles pour Oracle Digital Assistant.

Type de ressource	Description
`oda-instance-resource`	Permet d'utiliser des API REST pour l'export des données d'analyse, l'export des journaux de conversation, la gestion des entités dynamiques et la gestion des groupes de ressources. Vous pouvez appliquer trois niveaux d'autorisation (verbes). Pour obtenir des détails sur les adresses couvertes dans chaque niveau de droit d'accéder (`inspect`, `read` et `use`), reportez-vous à API REST pour Oracle Digital Assistant et cliquez sur Droits d'accès à gauche de la page. Remarque : pour les API d'instance de service qui vous permettent de créer des briques et des canaux, vous avez besoin d'une stratégie avec le type de ressource `oda-design`.
`oda-design`	Permet d'accéder à l'interface utilisateur pour les briques, les assistants numériques et les canaux. Au niveau de droit d'accès `read`, les utilisateurs peuvent voir les artefacts qui ont été créés. Au niveau `use`, les utilisateurs peuvent développer, tester et déployer activement ces artefacts. Permet également de créer une gestion de ces artefacts à l'aide des API d'instance de service.
`oda-insights`	Permet d'accéder à l'interface utilisateur pour obtenir des analyses sur la brique et l'assistant numérique.
`oda-instances`	Permet d'accéder à la console pour les instances Oracle Digital Assistant. Au niveau de droit d'accès `manage`, vous pouvez créer et supprimer des instances.
`oda-family`	Ce type de ressource est un sur-ensemble des types de ressource Oracle Digital Assistant. Pour chaque verbe (`inspect`, `read`, `use` et `manage`) que vous utilisez avec ce type de ressource dans une définition de stratégie, toutes les opérations couvertes par ce verbe sont incluses. Par exemple, si une stratégie utilise ce type de ressource et le verbe `manage`, les utilisateurs couverts par cette stratégie seront dotés de tous les droits d'accès Oracle Digital Assistant possibles. Ce type de ressource inclut également les types de ressource `oda-private-endpoints` et `oda-private-endpoint-attachments`, qui sont liés à la fonctionnalité Adresse privée.

Verbes

Utilisez des verbes dans les définitions de stratégie pour définir les niveaux de droit d'accès dont disposent les groupes d'utilisateurs donnés pour des types de ressource donnés. Par exemple, vous devez utiliser le verbe read pour autoriser l'accès en lecture seule.

Voici les verbes définis pour l'ensemble des types de ressource Oracle Digital Assistant.

Verbe	Description
inspect	Couvre généralement les opérations qui répertorient le contenu d'une ressource. Ce verbe fournit l'accès le plus limité.
read	Dans les termes de l'interface utilisateur, cela correspond généralement à un accès en lecture seule. Dans les termes de l'API, cela s'applique généralement aux opérations GET.
use	Lorsqu'il est appliqué aux ressources dans l'interface utilisateur du service, ce verbe permet généralement de développer, de tester et de déployer ces ressources. Au niveau de l'API, il autorise généralement les opérations GET, PUT, POST, PATCH et DELETE, à l'exception des opérations ayant un impact plus élevé (comme la création d'instances et la purge des données).
manage	Permet généralement à l'utilisateur d'exécuter l'ensemble des opérations d'un type de ressource, y compris les opérations à impact élevé comme la création d'instances et la purge des données.

Exemple d'ensemble de stratégies

Le tableau suivant présente les modèles de stratégies IAM et fournit des exemples standard pour Oracle Digital Assistant.

Stratégie IAM	Modèle de l'instruction de stratégie
Stratégie pour les administrateurs de service	`Allow group <name_of_your_Service_Administrators_Group> to manage oda-family in compartment <your_digital_assistant_compartment>`
Stratégie pour les développeurs de service	`Allow group <name_of_your_Service_Developers_Group> to use oda-design in compartment <your_digital_assistant_compartment>` `Allow group <name_of_your_Service_Developers_Group> to use oda-insights in compartment <your_digital_assistant_compartment>` En outre, si vous voulez que ces utilisateurs puissent voir les détails des instances Digital Assistant dans la console OCI, vous pouvez ajouter l'instruction suivante : `Allow group <name_of_your_Service_Developers_Group> to read oda-instances in compartment <your_digital_assistant_compartment>`
Stratégie pour les utilisateurs professionnels du service	`Allow group <name_of_your_Service_Business_Users_Group> to read oda-design in compartment <your_digital_assistant_compartment>` `Allow group <name_of_your_Service_Business_Users_Group> to use oda-insights in compartment <your_digital_assistant_compartment>` En outre, si vous voulez que ces utilisateurs puissent voir les détails des instances Digital Assistant dans la console OCI, vous pouvez ajouter l'instruction suivante : `Allow group <name_of_your_Service_Business_Users_Group> to read oda-instances in compartment <your_digital_assistant_compartment>`
Stratégie pour les utilisateurs de l'API Digital Assistant	`Allow group <name_of_your_Digital_Assistant_API_Users_Group> to use oda-instance-resource in compartment <your_digital_assistant_compartment>` `Allow group <name_of_your_Digital_Assistant_API_Users_Group> to use oda-design in compartment <your_digital_assistant_compartment>` Remarque La première instruction permet d'accéder à toutes les adresses de l'API REST pour des tâches telles que l'export d'informations clés, la gestion d'entités dynamiques et la gestion de groupes de ressources. Vous pouvez également créer des stratégies en utilisant les verbes `inspect` et `read` pour un accès plus limité. Pour connaître les adresses couvertes par les verbes, reportez-vous à la documentation relative à ces API. La deuxième instruction permet d'accéder aux API d'instance de service, qui vous permettent de créer des briques et des canaux, par exemple.

Création d'un compartiment

Les compartiments vous permettent de partitionner des ressources dans Oracle Cloud afin de mieux contrôler l'accès à celles-ci. Lorsque vous rédigez des stratégies pour donner aux utilisateurs accès à une instance de Digital Assistant, le nom de compartiment fait partie de l'instruction de stratégie.

Remarque

Vous pouvez également écrire des stratégies qui permettent aux utilisateurs d'accéder aux ressources de l'ensemble de la location tenant, mais cette option convient le mieux aux configurations très simples (par exemple, si vous envisagez de ne jamais avoir plusieurs instances de Digital Assistant).

Procédure de création d'un compartiment:

Dans la console Infrastructure, cliquez sur , en haut à gauche, pour ouvrir le menu de navigation, sélectionnez Identité et sécurité, puis cliquez sur Compartiments.
Cliquez sur Créer un compartiment.
Remplissez les valeurs requises et cliquez sur Créer un compartiment.

Création d'utilisateurs IAM

Si certains utilisateurs n'ont pas encore de comptes utilisateur, créez-les dans IAM.

Dans la console Infrastructure, cliquez sur , en haut à gauche, pour ouvrir le menu de navigation, sélectionnez Identité et sécurité, puis cliquez sur Utilisateurs.
Cliquez sur Créer un utilisateur.
Dans la boîte de dialogue Créer un utilisateur, renseignez les détails nécessaires, avec une attention particulière pour les éléments suivants :
- La valeur Nom peut être une adresse électronique ou un nom unique. Il s'agit du nom que l'utilisateur emploie pour se connecter à l'instance.
- La valeur Adresse électronique est utilisée pour la récupération du mot de passe.
Cliquez sur Créer.
Une fois l'utilisateur créé, sélectionnez-le et cliquez sur Créer/Réinitialiser le mot de passe.
Cliquez sur Copier.
Collez le mot de passe dans un endroit sécurisé, puis fournissez-le à l'utilisateur.

L'utilisateur devra se connecter avec ce mot de passe et le modifier immédiatement.

Création de groupes

Les groupes sont des ensembles d'utilisateurs pouvant être référencés dans des stratégies. Vous pouvez créer des groupes pour faciliter la gestion des droits d'accès des utilisateurs.

Voici un exemple d'ensemble de groupes d'utilisateurs que vous pouvez configurer.

Groupe d'utilisateurs	Description et rôle
Administrateurs de service	Disposent d'un accès complet et illimité pour gérer, administrer et développer avec l'instance de service Oracle Digital Assistant.
Développeur de service	Dispose de privilèges permettant de développer et d'entraîner des assistants numériques. Toutefois, ce groupe ne peut pas supprimer des assistants numériques ou des briques publiés, ni purger des données. Ces privilèges sont un sous-ensemble de privilèges d'administrateur de service.
Utilisateurs professionnels du service	Disposent principalement d'un accès en lecture seule. Peuvent utiliser le testeur de brique et d'assistant numérique, consulter des rapports d'analyse et enrichir le corpus d'entraînement en ajoutant des exemples de variation (réentraînement). Ces privilèges sont un sous-ensemble de privilèges de développeur de service. Conçu pour les utilisateurs et les analystes du secteur d'activité.
Utilisateurs externes du service	Disposent des droits d'accès permettant d'appeler les API REST Oracle Digital Assistant. Il existe trois niveaux d'autorisation différents (les verbes `inspect`, `read` et `use`) pour les API Oracle Digital Assistant. Vous pouvez ainsi créer un groupe distinct pour deux ou trois de ces niveaux de droit d'accès.

Pour créer un groupe, procédez comme suit :

Dans la console Infrastructure, cliquez sur , en haut à gauche, pour ouvrir le menu de navigation, sélectionnez Identité et sécurité, puis cliquez sur Groupes.

La liste des groupes dans votre location s'affiche.
Cliquez sur Créer un groupe.
Entrez les informations suivantes :
- Nom : nom unique du groupe. Le nom doit être unique parmi tous les groupes de votre location. Vous ne pourrez pas le modifier ultérieurement.
- Description : description conviviale. Vous pourrez modifier ce paramètre ultérieurement si vous le souhaitez.
- Balises : vous pouvez éventuellement appliquer des balises. Si vous êtes autorisé à créer une ressource, vous disposez également des droits d'accès requis pour appliquer des balises à format libre à cette ressource. Pour appliquer une balise définie, vous devez disposer de droits d'accès permettant d'utiliser l'espace de noms de balise. Pour plus d'informations sur le balisage, reportez-vous à Balises de ressource. Si vous n'êtes pas certain de devoir appliquer des balises, ignorez cette option (vous pourrez appliquer des balises ultérieurement) ou posez une question à l'administrateur.
Cliquez sur Créer un groupe.

Ajout d'utilisateurs IAM à un groupe

Vous devrez ajouter chaque utilisateur à un groupe afin de leur donner accès au service.

Dans la console Infrastructure, cliquez sur , en haut à gauche, pour ouvrir le menu de navigation, sélectionnez Identité et sécurité, puis cliquez sur Groupes.

La liste des groupes dans votre location s'affiche.
Recherchez le groupe dans la liste.
Cliquez sur le groupe.
Cliquez sur Ajouter un utilisateur à un groupe.
Sélectionnez l'utilisateur dans la liste déroulante, puis cliquez sur Ajouter un utilisateur.

Création de stratégies

Vous définissez les stratégies IAM à appliquer aux groupes d'utilisateurs.

Pour créer une stratégie, procédez comme suit :

Dans la console Infrastructure, cliquez sur , en haut à gauche, pour ouvrir le menu de navigation, sélectionnez Identité et sécurité, puis cliquez sur Stratégies.

La liste des stratégies contenues dans le compartiment en cours de visualisation s'affiche.
Si vous voulez attacher la stratégie à un compartiment autre que celui que vous visualisez, sélectionnez le compartiment souhaité dans la liste déroulante Compartiment sur la gauche. L'emplacement d'attachement de la stratégie détermine qui peut la modifier ou la supprimer ultérieurement (reportez-vous à Attachement de stratégie).
Cliquez sur Créer une stratégie.
Entrez les informations suivantes :
- Nom : nom unique de la stratégie. Le nom doit être unique parmi toutes les stratégies de la location. Vous ne pourrez pas le modifier ultérieurement.
- Description : description conviviale. Vous pourrez modifier ce paramètre ultérieurement si vous le souhaitez.
- Gestion des versions de stratégie : sélectionnez Conserver la stratégie en cours si vous souhaitez que la stratégie soit mise à jour en cas de modification ultérieure des définitions de verbe et de ressource du service. Sinon, si vous préférez limiter l'accès en fonction des définitions qui étaient appliquées à une date spécifique, sélectionnez Utiliser la date de version et entrez cette date au format YYYY-MM-DD. Pour plus d'informations, reportez-vous à Version de langage de stratégie.
- Instruction : instruction de stratégie. Pour connaître le format à utiliser, reportez-vous à Notions de base relatives aux stratégies et à Syntaxe de stratégie. Pour ajouter plusieurs instructions, cliquez sur +.
- Balises : vous pouvez éventuellement appliquer des balises. Si vous êtes autorisé à créer une ressource, vous disposez également des droits d'accès requis pour appliquer des balises à format libre à cette ressource. Pour appliquer une balise définie, vous devez disposer de droits d'accès permettant d'utiliser l'espace de noms de balise. Pour plus d'informations sur le balisage, reportez-vous à Balises de ressource. Si vous n'êtes pas certain de devoir appliquer des balises, ignorez cette option (vous pourrez appliquer des balises ultérieurement) ou posez une question à l'administrateur.
Cliquez sur Créer.

La nouvelle stratégie est généralement appliquée dans les 10 secondes qui suivent.

Pour obtenir un exemple de définition de vos stratégies Oracle Digital Assistant, reportez-vous à Exemple d'ensemble de stratégies.

Pour plus d'informations sur les stratégies IAM, reportez-vous à Fonctionnement des stratégies.

Configuration et stratégies pour Oracle Functions

Si vous décidez d'utiliser Oracle Functions afin d'héberger du code de composant personnalisé pour certaines de vos briques, vous devez configurer votre location pour le développement de fonctions. Cela inclut la configuration de droits d'accès pour les développeurs et l'octroi de vos droits d'accès d'instance Digital Assistant afin d'appeler les fonctions qui contiennent ce code.

Voici la procédure générale :

Configurez des compartiments pour les fonctions et un réseau cloud virtuel.
Configurez le réseau cloud virtuel.
Configurez des droits d'accès pour l'accès réseau.
Configurez des droits d'accès pour les développeurs de fonctions.
Configurez un groupe dynamique pour vos instances Digital Assistant.
Définissez une stratégie permettant au groupe dynamique d'accéder aux fonctions.

Les rubriques suivantes détaillent rapidement ces étapes. Si vous avez besoin d'informations plus approfondies, reportez-vous à Configuration de la location pour le développement de fonctions.

Création de compartiments pour les fonctions et les ressources réseau

Dans votre location, vous aurez besoin de compartiments distincts pour les fonctions et pour les ressources réseau. Vous pouvez ainsi écrire des stratégies spécifiques pour chacune.

Pour créer les compartiments, procédez comme suit :

Dans la console Infrastructure, cliquez sur , en haut à gauche, pour ouvrir le menu de navigation, sélectionnez Identité et sécurité, puis cliquez sur Compartiments.
Cliquez sur Créer un compartiment.
Indiquez les valeurs requises pour le compartiment dédié aux fonctions, puis cliquez sur Créer un compartiment.
Cliquez à nouveau sur Créer un compartiment et indiquez les valeurs du compartiment que vous consacrez aux ressources réseau.

Configuration d'un réseau cloud virtuel

Pour que votre équipe puisse créer et déployer des fonctions, vous avez besoin d'un réseau cloud virtuel contenant les sous-réseaux de vos fonctions.

Le moyen le plus simple de créer le réseau cloud virtuel est d'utiliser l'assistant Réseau cloud virtuel avec connectivité Internet, qui crée les artefacts nécessaires pour vous. Reportez-vous à Création du réseau cloud virtuel et des sous-réseaux à utiliser avec Oracle Functions dans la documentation Oracle Cloud Infrastructure.

Remarque

Vous devez créer le réseau cloud virtuel dans la région dans laquelle vous prévoyez de déployer vos fonctions.

Configuration de droits d'accès réseau

Afin de configurer des droits d'accès pour les utilisateurs qui vont gérer les ressources réseau, procédez comme suit :

Si ce n'est pas encore fait, créez un groupe pour ces utilisateurs.
1. Dans la console Infrastructure, cliquez sur , en haut à gauche, pour ouvrir le menu de navigation, sélectionnez Identité et sécurité, puis cliquez sur Groupes.
2. Cliquez sur Créer un groupe.
3. Complétez l'assistant, en vous assurant que le nom du groupe est unique parmi tous les groupes de la location. Vous ne pouvez pas modifier cet élément ultérieurement.
4. Cliquez sur Créer un groupe.
Ajoutez les utilisateurs appropriés au groupe.
- Pour chaque utilisateur, cliquez sur Ajouter un utilisateur à un groupe, sélectionnez l'utilisateur dans la liste déroulante, puis cliquez sur Ajouter un utilisateur.
Créez la stratégie requise pour le groupe :
1. Dans le menu du navigateur de la console Infrastructure, sélectionnez Identité et sécurité, puis cliquez sur Stratégies.
2. Cliquez sur Créer une stratégie.
3. Complétez l'assistant en prêtant une attention particulière aux champs suivants :
  - Nom : entrez un nom unique pour la stratégie. Le nom doit être unique parmi toutes les stratégies de la location. Vous ne pouvez pas modifier cet élément ultérieurement.
  - Instruction : ajoutez l'instruction de stratégie suivante, dans laquelle vous remplacez <group-name> et <network-resources-compartment-name> par les noms du groupe d'utilisateurs et du compartiment appropriés, respectivement :
```
Allow group <group-name> to manage virtual-network-family in compartment <network-resources-compartment-name>
```
    Pour plus d'informations sur le format de la stratégie, reportez-vous à Notions de base relatives aux stratégies et à Syntaxe de stratégie.

Configuration de droits d'accès pour les développeurs de fonctions

Afin de configurer des droits d'accès pour les développeurs de fonctions, procédez comme suit :

Si ce n'est pas encore fait, créez un groupe pour ces utilisateurs.
1. Dans la console Infrastructure, cliquez sur , en haut à gauche, pour ouvrir le menu de navigation, sélectionnez Identité et sécurité, puis cliquez sur Groupes.
2. Cliquez sur Créer un groupe.
3. Complétez l'assistant, en vous assurant que le nom du groupe est unique parmi tous les groupes de la location. Vous ne pouvez pas modifier cet élément ultérieurement.
4. Cliquez sur Créer un groupe.
Ajoutez les utilisateurs appropriés au groupe.
- Pour chaque utilisateur, cliquez sur Ajouter un utilisateur à un groupe, sélectionnez l'utilisateur dans la liste déroulante, puis cliquez sur Ajouter un utilisateur.
Créez les stratégies requises pour le groupe :
1. Dans le menu du navigateur de la console Infrastructure, sélectionnez Identité et sécurité, puis cliquez sur Stratégies.
2. Cliquez sur Créer une stratégie.
3. Complétez l'assistant en prêtant une attention particulière aux champs suivants :
  - Nom : entrez un nom unique pour la stratégie. Le nom doit être unique parmi toutes les stratégies de la location. Vous ne pouvez pas modifier cet élément ultérieurement.
  - Instruction : ajoutez les instructions de stratégie suivantes (cliquez sur + pour chaque instruction après la première), en remplaçant <group-name>, <network-resources-compartment-name> et <functions-compartment-name> par les noms du groupe d'utilisateurs et des compartiments appropriés :
```
Allow group <group-name> to use virtual-network-family in compartment <network-resources-compartment-name>
Allow group <group-name> to manage functions-family in compartment <functions-compartment-name>
Allow group <group-name> to read metrics in compartment <functions-compartment-name>
Allow group <group-name> to manage logging-family in compartment <functions-compartment-name>
Allow group <group-name> to manage repos in tenancy
Allow group <group-name> to read objectstorage-namespaces in tenancy
```
  Remarque
  
  La première instruction s'applique à un compartiment différent de celui des trois instructions suivantes. Assurez-vous que la première de ces instructions de stratégie indique le compartiment que vous configurez pour les ressources réseau, et que les trois instructions suivantes indiquent le compartiment que vous configurez pour le développement de fonctions.

Création d'un groupe dynamique

Pour que Digital Assistant puisse appeler des fonctions écrites dans Oracle Functions ou appeler d'autres services OCI (tels que Language), vous devez accorder des droits d'accès à l'instance de service Digital Assistant elle-même (par opposition aux utilisateurs de l'instance). Pour ce faire, vous devez d'abord créer un groupe dynamique contenant une règle qui correspond à cette instance. Vous pouvez ensuite appliquer une stratégie au groupe dynamique pour lui accorder les droits d'accès souhaités.

Voici les étapes à suivre afin de créer un groupe dynamique pour les instances Digital Assistant.

Dans la console Infrastructure, cliquez sur , en haut à gauche, pour ouvrir le menu de navigation, sélectionnez Identité et sécurité, puis cliquez sur Groupes dynamiques.
Cliquez sur Créer un groupe dynamique pour ouvrir la boîte de dialogue du même nom.
Renseignez les valeurs Nom et Description.
Le nom doit être unique parmi tous les groupes de la location (groupes dynamiques et groupes d'utilisateurs). Vous ne pouvez pas modifier cet élément ultérieurement.
Dans la section Règles de mise en correspondance, ajoutez des règles correspondant aux instances qui doivent accéder au compartiment.
Vous pouvez ajouter des règles pour les instances ou pour les compartiments qui contiennent les instances.

Conseil :
Cliquez sur le lien Générateur de règles pour obtenir de l'aide sur la syntaxe de règle.

Voici les règles que vous pouvez utiliser pour les instances Digital Assistant dans un compartiment spécifique.
```
  resource.type = 'odainstance',
  resource.compartment.id = '<ocid-of-compartment-containing-DigitalAssistant-instance>'
```
Cliquez sur Créer.

Exemple : groupe dynamique pour une instance unique

Voici les étapes à suivre afin de créer un groupe dynamique pour une seule instance Digital Assistant.

Obtenez l'OCID de votre instance. Pour ce faire, procédez comme suit :
1. Dans la console Infrastructure, cliquez sur en haut à gauche pour ouvrir le menu de navigation, sélectionnez Analytics et IA, puis Digital Assistant (qui apparaît dans la catégorie Services d'IA sur la page).
2. Sélectionnez un compartiment dans le panneau Compartiments.
3. Sélectionnez l'instance.
4. Dans la section Informations sur l'instance de la page, cliquez sur le lien Copier de l'OCID de l'instance.
Dans le menu d'accès à la console Infrastructure, sélectionnez Identité et sécurité, puis cliquez sur Groupes dynamiques.
Cliquez sur Créer un groupe dynamique pour ouvrir la boîte de dialogue du même nom.
Renseignez les valeurs Nom et Description.
Cliquez sur le lien Générateur de règles.
Dans le champ Mettre en correspondance les instances avec de la boîte de dialogue Créer une règle de mise en correspondance, sélectionnez OCID d'instance.
Dans le champ Valeur, collez l'OCID que vous venez de copier.
Cliquez sur Ajouter une règle.
Cliquez sur Créer.

Création d'une stratégie pour accéder à Oracle Functions

Une fois que vous disposez d'un groupe dynamique pour les instances devant appeler des fonctions dans Oracle Functions, créez une stratégie afin que ce groupe dynamique accède aux fonctions :

Dans la console Infrastructure, cliquez sur , en haut à gauche, pour ouvrir le menu de navigation, sélectionnez Identité et sécurité, puis cliquez sur Stratégies.

La liste des stratégies contenues dans le compartiment en cours de visualisation s'affiche.
Dans la liste des compartiments, sélectionnez le compartiment auquel vous voulez attacher la stratégie. Cela permet de contrôler qui peut ensuite modifier ou supprimer la stratégie (reportez-vous à Attachement de stratégie).
Cliquez sur Créer une stratégie.
Complétez l'assistant en prêtant une attention particulière aux champs suivants :
- Nom : entrez un nom unique pour la stratégie. Le nom doit être unique parmi toutes les stratégies de la location. Vous ne pourrez pas le modifier ultérieurement.
- Instruction : saisissez une instruction de stratégie au format suivant :
```
Allow dynamic-group <name_of_your_dynamic_group> to use fn-invocation in compartment <name_of_your_Functions_compartment>
```

Stratégies pour OCI Language

Si vous configurez OCI Language en tant que service de traduction dans Digital Assistant, vous devez créer les stratégies appropriées pour autoriser l'instance Digital Assistant à l'utiliser.

Les étapes de configuration et les stratégies requises pour utiliser le service OCI Language dans vos briques et vos assistants numériques dépendent de la configuration de votre instance Digital Assistant et de la disponibilité du service OCI Language dans la même location OCI.

Configuration du langage OCI dans la même location

Si vous avez provisionné votre instance Digital Assistant via le programme OCI de crédit universel, procédez comme suit :

Dans la console OCI de votre location, abonnez-vous au service OCI Language.
Vous pouvez également créer un groupe dynamique pour l'instance Digital Assistant qui appellera OCI Language. Reportez-vous à Création d'un groupe dynamique.
Créez une stratégie qui permet à l'instance Digital Assistant d'utiliser le service Language.
Si vous n'avez pas de groupe dynamique, la stratégie prend la forme suivante :
```
Allow any-user to use ai-service-language-family in compartment <name_of_your_compartment> where request.principal.id='<ocid_of_your_Digital_Assistant_instance>'
```
Si vous disposez d'un groupe dynamique, la stratégie prend la forme suivante :
```
Allow dynamic-group <name_of_your_dynamic_group> to use ai-service-language-family in compartment <name_of_your_Language_compartment>
```
Reportez-vous à Création de stratégies pour connaître les étapes de création de stratégies dans la console OCI.

Configuration du langage OCI dans une autre location

Si le service OCI Language n'est pas disponible dans la même location OCI qu'Oracle Digital Assistant, vous devez provisionner une location UCM (Universal Credit Model) et configurer les locations pour qu'elles fonctionnent les unes avec les autres. Ceci s'applique aux cas suivants :

Vous disposez d'un abonnement à la plate-forme Oracle Digital Assistant Platform for SaaS et utilisez une instance Digital Assistant dans cette location OCI.
Dans ce cas, vous avez besoin de stratégies sur le locataire Oracle Digital Assistant et sur le locataire client (UCM).
Votre instance Digital Assistant est associée à un abonnement à un service Oracle Cloud Applications basé sur Fusion.
Dans ce cas, vous avez juste besoin d'une stratégie sur le locataire du client (UCM).

Dans les deux cas, la stratégie sur le locataire client doit nommer l'identificateur Oracle Cloud (OCID) d'un locataire basé sur UCM, que vous obtenez en déposant une demande de service auprès du support technique Oracle.

Voici les étapes à suivre si vous disposez d'un abonnement Oracle Digital Assistant Platform for SaaS et que vous utilisez un assistant numérique dans cette location OCI.

Dans votre location de programme de crédits universels, abonnez-vous au service OCI Language.

Dans la location dans laquelle vous disposez de votre abonnement OCI Language, ajoutez une stratégie admit au format suivant :

define tenancy digital-assistant-tenancy as <tenancy-ocid> 
admit any-user of tenancy digital-assistant-tenancy to use ai-service-language-family in compartment <chosen-compartment> where request.principal.id = '<digital-assistant-instance-OCID>'

Dans la location OCI dans laquelle vous disposez de votre instance Digital Assistant, ajoutez une stratégie endorse au format suivant :
```
endorse any-user to use ai-service-language-family in any-tenancy where request.principal.type = '<ocid_of_your_Digital_Assistant_instance>'
```
Reportez-vous à Création de stratégies pour connaître les étapes de création de stratégies dans la console OCI.

Si votre instance Digital Assistant est associée à un abonnement à un service Oracle Cloud Applications basé sur Fusion mais que vous ne disposez pas d'un abonnement Oracle Digital Assistant Platform for SaaS, procédez comme suit :

Obtenez une location Oracle Cloud distincte via le programme de crédits universels d'Oracle Cloud. Reportez-vous à Achat d'un abonnement Oracle Cloud.
Dans votre location de programme de crédits universels, abonnez-vous au service OCI Language.
Déposez une demande d'assistance auprès du support technique Oracle pour :
- Créez une stratégie sur votre instance Digital Assistant gérée par Oracle pour lui permettre d'utiliser le service OCI Language.
- Déterminez l'OCID de l'instance Digital Assistant gérée par Oracle que vous pouvez utiliser dans la définition de stratégie de votre location UCM afin d'autoriser l'instance Digital Assistant à accéder au service Language.
Fournissez les informations suivantes dans la SR :
- OCID du compartiment racine de la location UCM que vous utilisez pour le service OCI Language. (Le support technique Oracle l'utilisera pour créer une stratégie sur votre instance Digital Assistant afin de lui permettre d'utiliser le service OCI Language.)
- URL de l'interface utilisateur de votre instance Digital Assistant. (Ceci permet à la prise en charge de vous fournir l'OCID dont vous avez besoin dans la stratégie admit que vous allez créer à l'étape suivante.)
Dans la location à laquelle vous êtes abonné à OCI Language, créez une stratégie permettant à l'assistant numérique d'utiliser OCI Language. Dans l'instruction, vous utilisez l'OCID qui vous a été donné suite à votre demande de service. L'instruction prend la forme suivante.
```
define tenancy digital-assistant-tenancy as <tenancy-ocid> 
admit any-user of tenancy digital-assistant-tenancy to use ai-service-language-family in compartment <chosen-compartment> where request.principal.id = '<digital-assistant-instance-OCID>'
```
Reportez-vous à Création de stratégies pour connaître les étapes de création de stratégies dans la console OCI.

Accès basé sur les rôles et domaines d'identité

Si, lors de la création d'une instance Digital Assistant, vous avez activé l'accès basé sur les rôles pour cette instance, vous pouvez affecter des rôles aux groupes et utilisateurs Oracle Cloud Infrastructure IAM au sein d'un domaine d'identité.

La location dans laquelle l'instance Digital Assistant est provisionnée contient un domaine d'identité par défaut dans le compartiment racine. Si la location existait déjà avant l'activation de la fonctionnalité Domaines d'identité, tous les utilisateurs et groupes qui existaient dans la location au moment où les domaines d'identité étaient activés seront inclus dans le domaine d'identité par défaut.

Vous pouvez créer des domaines d'identité supplémentaires pour votre locataire, dans le compartiment racine ou dans d'autres compartiments. Par exemple, vous pouvez effectuer les opérations suivantes :

Dans le compartiment racine (par défaut), créez un domaine par défaut pour les administrateurs uniquement.
Dans un autre compartiment (nommé Dev, par exemple), créez un domaine pour les utilisateurs et les groupes dans un environnement de développement
Dans un autre compartiment (nommé Prod, par exemple), créez un domaine pour les utilisateurs et les groupes dans un environnement de production.

Création d'un domaine d'identité

Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Domaines. La page Domaines s'affiche.
Si ce n'est pas déjà fait, sélectionnez le compartiment dans lequel créer le domaine.
Cliquez sur Créer un domaine.
Entrez les informations requises sur la page Créer un domaine. Reportez-vous à Création de domaines d'identité dans la documentation Oracle Cloud Infrastructure.

Rôles utilisateur dans IAM

Si votre instance de Digital Assistant est configurée pour un accès basé sur les rôles, vous autorisez les membres de votre équipe à accéder à l'instance en leur affectant l'un des rôles suivants :

ServiceBusinessUser. Ce rôle est conçu pour les utilisateurs professionnels afin d'analyser la façon dont les briques et les assistants numériques sont utilisés. Les utilisateurs dotés de ce rôle peuvent effectuer les opérations suivantes :
- Affichez les briques, les assistants numériques et les canaux qui ont déjà été créés.
- Utilisez les fonctionnalités d'analyse pour les briques et les assistants numériques, y compris l'utilisation du réentraînement pour ajouter des variations aux versions provisoires des briques.
ServiceDeveloper. Ce rôle est conçu pour les développeurs qui étendront, mettront à jour et/ou développeront des compétences et des assistants numériques. Les utilisateurs dotés de ce rôle peuvent effectuer les opérations suivantes :
- Développez, testez, formez et déployez des compétences et des assistants numériques, et créez des canaux.
- Utilisez les fonctionnalités d'analyse pour les briques et les assistants numériques, y compris l'utilisation du réentraînement pour ajouter des variations aux versions provisoires des briques.
ServiceAdministrator. Ce rôle est conçu pour les administrateurs et leur permet d'effectuer des opérations telles que la purge des données et la suppression des briques publiées. Les utilisateurs dotés de ce rôle peuvent effectuer les opérations suivantes :
- Accédez à la console OCI pour les instances Oracle Digital Assistant.
- Développez, testez, formez et déployez des compétences et des assistants numériques, et créez des canaux.
- Utilisez les fonctionnalités d'analyse pour les briques et les assistants numériques, y compris l'utilisation du réentraînement pour ajouter des variations aux versions provisoires des briques.

Création d'un utilisateur dans un domaine d'identité

Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Domaines.
Si ce n'est pas déjà fait, sélectionnez le compartiment dans lequel réside le domaine contenant le groupe auquel ajouter un nouvel utilisateur.
Dans la colonne Nom, cliquez sur le domaine du groupe dans lequel créer l'utilisateur.
Cliquez sur Utilisateurs.
Cliquez sur Créer un utilisateur.
Sur l'écran Créer un utilisateur, entrez le prénom et le nom de famille de l'utilisateur, ainsi que son nom utilisateur, puis sélectionnez les groupes auxquels l'utilisateur doit être affecté.
Cliquez sur Créer.
Le nouvel utilisateur est ajouté aux groupes sélectionnés et dispose des droits d'accès affectés à ces groupes via les instructions de stratégie correspondantes.
Sur la page de détails de l'utilisateur qui apparaît, vous pouvez modifier les informations de l'utilisateur selon vos besoins et réinitialiser son mot de passe.
Fournissez aux nouveaux utilisateurs les informations d'identification dont ils ont besoin pour se connecter à leur compte cloud. Une fois connectés, ils sont invités à saisir un nouveau mot de passe.

Création d'un groupe dans un domaine d'identité

Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Domaines.
Si ce n'est pas déjà fait, sélectionnez le compartiment dans lequel réside le domaine où créer le groupe.
Dans la colonne Nom, cliquez sur le domaine dans lequel créer le groupe pour créer et gérer la page de présentation du domaine instances.The.
Cliquez sur Groupes. La page Groupes du domaine apparaît.
Cliquez sur Créer un groupe.
Sur l'écran Créer un groupe, affectez un nom au groupe (par exemple, oci-integration-admins) et entrez une description.
Cliquez sur Créer.

Affectation d'un rôle dans un domaine d'identité

Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Domaines.
Si ce n'est pas déjà fait, sélectionnez le compartiment dans lequel réside le domaine contenant l'utilisateur ou le groupe auquel vous voulez affecter les rôles Assistant numérique.
Dans la colonne Nom, cliquez sur le domaine du groupe ou de l'utilisateur auquel affecter des rôles.
Dans le panneau de navigation, cliquez sur Services Oracle Cloud.
Dans la colonne Nom, cliquez sur l'instance d'assistant numérique pour laquelle affecter les rôles de groupe.
Dans le panneau de navigation, cliquez sur Rôles d'application.
Dans la liste Rôles d'application, localisez les rôles à affecter. A l'extrémité droite, cliquez sur l'icône de menu et sélectionnez Affecter des groupes ou Affecter des utilisateurs.
Sélectionnez l'utilisateur ou le groupe auquel affecter le rôle de service, puis cliquez sur Affecter.

Documentation Oracle Cloud Infrastructure